Hero Image

Checkmarx Codebashing

Решение по обеспечению грамотности в области безопасности приложений для DevOps

Воспроизвести сейчас

Усиление жизненного цикла программного обеспечения за счет грамотности в области безопасности приложений

Если проводить обучение разработчиков раз в год или даже раз в квартал, то обеспечить необходимую культуру безопасности не удастся. Повышение грамотности в области безопасности приложений нельзя рассматривать как отдельный шаг в рамках жизненного цикла программного обеспечения. Важно внедрить грамотность на всех этапах жизненного цикла программного обеспечения, тем самым, фактически способствуя ускорению выпуска ПО. Именно это и обеспечивает Codebashing: посредством своевременного обучения, непрерывного общения и увлеченной заинтересованности менеджеры по безопасности прививают разработчикам культуру безопасности программного обеспечения, которая обеспечивает ориентированность на безопасность в мышлении и действиях в повседневной работе.
Запросить демонстрационный сеанс

Обучение в процессе написания кода

В отличие от традиционного обучения в классной комнате или в условиях видеоконференции, Codebashing – это практическое, интерактивное решение, вписывающееся в повседневную работу разработчика. Вместо того чтобы тратить целый день на обучение по уязвимостям безопасности вне всякого контекста, разработчикам по требованию предоставляются небольшие сессии, ориентированные на конкретные проблемы, с которыми они сталкиваются в своем коде.

Выявление и исправление в один прием

Checkmarx предлагает уникальную интеграцию своего решения по статическому тестированию безопасности приложений и решения по обучению безопасному написанию кода. Уязвимости, выявленные путем статического анализа, закладываются в основу практических учебных занятий, в ходе которых предоставляется быстрая целенаправленная поддержка в нахождении решения для выявленных проблем. Таким образом, разработчик изучает причины возникновения проблемы, способы ее решения и, что еще более важно, способы предотвращения повторных ошибок в будущем.

Повышение уровня безопасности приложений в соответствии с нужным масштабом

Codebashing позволяет группам специалистов по безопасности быстро, в нужных масштабах и результативно повышать уровень знаний по безопасности приложений во всей группе разработчиков. Основным подходом этого решения является привитие разработчикам долгосрочных компетенций: разработчики учатся не решению обособленных задач, а тому, как мыслить и действовать с глобальной установкой на безопасность. Менеджеры имеют в своем распоряжении все рычаги контроля и полный обзор – они очень просто могут определять необходимые курсы по конкретному языку программирования для своих групп специалистов и постоянно отслеживать их успехи.

Канал для открытого общения по вопросам безопасности приложений

При помощи Codebashing группы специалистов по безопасности могут сообщать разработчикам общие новости по безопасности приложений, делать объявления о безопасности для всей организации и объявления о специальных мероприятиях Codebashing. В качестве примера можно привести еженедельный совет по надлежащей практике в области безопасности, ежемесячное напоминание о тренинге, ежеквартальную задачу по безопасности и ежегодные правила компании по безопасной разработке.

Соответствие регуляторным нормам

Codebashing совместим с регуляторными нормами, например, со стандартом безопасности данных индустрии платёжных карт PCI-DSS, по которому требуется «обучение принципам безопасности в соответствии с должностью» или, более конкретно, «обучение разработчиков принципам безопасности».

Охват уязвимостей, входящих в Топ-10 OWASP

  • Более 200 примеров уязвимостей кода
  • Более 100 контрольных вопросов
  • Более 40 модулей по множеству языков и фреймворков
  • Панель управления для аналитики и отчетов
  • Опция интеграции с SAML/SSO для слаженного освоения пользователями

Обучение принципам безопасности приложений для основных языков программирования и фреймворков

Поддерживаемые уязвимости

SQL Injection
XXE Injection
Command Injection
Session Fixation
Reflected XSS
Use of Insufficiently Random Values
Persistent (Stored) XSS
DOM XSS
Directory (Path) Traversal
Privileged Interface Exposure
Leftover Debug Code
Authentication Credentials In URL
Session Exposure within URL
User Enumeration
Horizontal Privilege Escalation
Vertical Privilege Escalation
Cross Site Request Forgery (POST)
Cross Site Request Forgery (GET)
Click Jacking
Insecure URL Redirect
Insecure TLS Validation
Insecure Object Deserialization
Components with Known Vulnerabilities

Отзывы наших клиентов

«Инновационное и масштабируемое решение по обучению, благодаря которому наши разработчики получили знания об уязвимостях по всему набору инструментов, при этом все доступно при помощи простого браузера».
«Codebashing позволил Sky реализовать нашу инициативу по обучению безопасному написанию кода среди тысяч наших разработчиков во всех отделах инжиниринга в таком масштабе, который был бы невозможен с использованием традиционных методов».
«Codebashing выгодно отличается удобным пользовательским интерфейсом, богатым набором уроков, обширным охватом языков и ценной учебной информацией. Разработчики понимают результаты анализа CxSAST, понимают, как внести исправления и почему безопасное написание кода крайне важно на всех этапах жизненного цикла программного обеспечения для создания безопасных приложений.

Дополнительные материалы

Техническое описание

Checkmarx Codebashing

Скачать техническое описание

Электронная книга

Полное руководство по обучению разработчиков безопасному написанию кода

Пример из практики

Причина, по которой поборники безопасности в DAZN выбрали Checkmarx Codebashing

Ознакомиться с примером из практики

Готовы узнать больше?

Запросить демонстрационный сеанс